GDPR Tips 'n Tricks: aan de slag met het privacybeleid
De GDPR is inmiddels van kracht, maar een paar dagen vóór de 25ste bleek dat een groot deel van de marketingbedrijven nog helemaal niet voorbereid was op de GDPR. En ook nu komen we verschillende organisaties tegen die nog ‘snel even’ GDPR compliant moeten worden en, bijvoorbeeld, nog geen nieuw privacybeleid hebben opgesteld. Voor deze laatbloeiers, maar ook voor alle twijfelaars, hebben we een aantal punten op een rijtje gezet waar je aan moet denken bij het maken van je privacybeleid.
Ik heb nog nooit een privacybeleid geschreven, waar moet ik beginnen?!
Simpel: met de introductie. En dit stukje kijk je makkelijk af bij andere websites, want de introductie van zo’n privacybeleid behelst vaak ongeveer overal dezelfde informatie, aangevuld met je eigen organisatiegegevens. Vermeld op welke wetgeving dit beleid is gebaseerd. Omschrijf vervolgens wat lezers gaan vinden in het statement: informatie over hoe de persoonsgegevens worden verstrekt en een (link naar) een cookieverklaring.
Beschrijf om welke website het gaat en benadruk dat zodra bezoekers hun gegevens zelf op je website hebben achtergelaten, dat zij daarmee expliciet akkoord gaan met je privacybeleid. En denk er aan: alle communicatie rondom de privacy van je websitebezoekers moet straks, naast (vrij) toegankelijk, ook makkelijk te lezen zijn! Vermeld tot slot de contactgegevens van je organisatie, inclusief het BTW-nummer.
Omschrijf hoe je persoonsgegevens verzamelt en om welke persoonsgegevens het gaat
Zet hiervoor eerst alle mogelijkheden op een rijtje waarbij een bezoeker van je website persoonsgegevens achterlaat. Denk hierbij aan een contactformulier, een download formulier, maar ook aan de cookies die je op het apparaat van de bezoeker plaatst. Of misschien ontvangt jouw organisatie informatie over de bezoeker van adverteerders, partners of andere partijen.
De persoonsgegevens die je verzamelt, omschrijf je vervolgens duidelijk zodat bezoekers deze informatie direct terug kunnen vinden bij het lezen van je privacybeleid. Maak bijvoorbeeld gebruik van bulletpoints, dikgedrukte letters of icoontjes.
Tip: ben je al een tijdje met de voorbereidingen van de GDPR bezig, dan heb je vast ook al een verwerkingsregister. In zo’n verwerkingsregister staat namelijk precies aangegeven welke persoonsgegevens er per afdeling je organisatie binnenkomen. Het verwerkingsregister kun je daarom prima als basis gebruiken voor dit gedeelte van je beleid.
Omschrijf waarom je deze persoonsgegevens nodig hebt
Afhankelijk van de verschillende afdelingen binnen je organisatie kun je dit gedeelte van het privacybeleid opsplitsen in een aantal groepen, zoals algemeen, marketing, recruitment, ledenadministratie of finance. Schrijf per groep in heldere taal waarom jouw organisatie vindt dat je deze persoonsgegevens echt nodig hebt voor die groep of afdeling. Stel jezelf vervolgens de volgende vragen:
- Wat ga je met de informatie doen?
- Wat is de noodzaak van jouw bezit van de persoonsgegevens? Oftewel: wat is het rechtmatig belang?
- Wie wordt er beter van het feit dat jouw organisatie die informatie heeft?
- Wat zijn de eventuele gevolgen wanneer iemand zijn gegevens niet wilt achterlaten?
Omschrijf hierbij ook wie er allemaal recht hebben binnen je organisatie om deze persoonsgegevens in te zien.
Maak in dit stuk vervolgens een kopje rondom de ‘doorgifte aan derden’, oftewel: wanneer deelt jouw organisatie de persoonsgegevens met een andere partij? Denk hierbij aan situaties zoals een faillissement, een overname, je samenwerking met online adverteerders of wanneer jouw website het mogelijk maakt voor de gebruiker om iets te kopen van een externe verkoper.
Tot slot: in sommige gevallen kan het voorkomen dat jouw organisatie persoonsgegevens moet vrijgeven, als gevolg van een gerechtelijk bevel of een andere regel - of wetgeving. Geef aan dat je je best zult doen de persoon in kwestie eerst op de hoogte te stellen, als dit binnen je machte ligt op dat moment.
Omschrijf hoe lang je de persoonsgegevens in je relatiebeheer zult opslaan
Stel jezelf hierbij de vraag per soort persoonsgegevens en per groep/afdeling: hoe lang is het noodzakelijk om bepaalde persoonsgegevens in je bezit te hebben, gekeken naar de noodzaak van het hebben van deze gegevens?
Voorbeeld: “Je persoonsgegevens worden 2 jaar na ons laatste contactmoment verwijderd” of “Bestel je de komende 24 maanden geen bestelling in onze webshop, dan verwijderen wij jouw persoonsgegevens” of “Jouw persoonsgegevens blijven in ons bestand zolang je klant bent bij ons”.
Omschrijf de rechten van betrokkenen van wie je de persoonsgegevens hebt
Met de komst van de GDPR heeft de persoon iets meer rechten gekregen dan voorheen. Net zoals dat de organisatie meer verantwoordelijkheid heeft gekregen.
De rechten op een rijtje:
- Recht van vrije gegevensoverdracht - het recht om persoonsgegevens over te dragen
- Recht op vergetelheid - het recht van mensen om ‘vergeten’ te worden door jouw organisatie
- Recht op toegang en inzage - het recht van mensen om hun eigen persoonsgegevens in te zien, die je verwerkt hebt
- Recht op wijzigen - het recht van mensen om hun eigen persoonsgegevens te wijzigen
- Recht op beperking van de verwerking - het recht van mensen om minder gegevens te laten verwerken
- Recht van geautomatiseerde besluitvorming en profiling - het recht van mensen op een ‘menselijke blik’ bij besluiten die er gemaakt worden over hun persoonsgegevens
- Recht van verzet - het recht van mensen om aan jouw organisatie te vragen om hun persoonsgegevens niet meer te gebruiken
- Recht van intrekken toestemming - het recht van mensen om hun toestemming rondom hun persoonsgegevens in te trekken
Klacht indienen
Indien iemand van mening is dat jouw organisatie zijn of haar persoonsgegevens niet op een juiste manier heeft verwerkt, heeft hij of zij het recht om een klacht in te dienen. In Nederland kan dit bij de Autoriteit Persoonsgegevens en in België dien je een klacht in bij de Belgische Privacycommissie; Commissie voor de Bescherming van de Persoonlijke Levenssfeer.
Omschrijf wat er gebeurt als de veiligheidsmaatregelen worden overtreden of verbroken
Wanneer is jouw organisatie aansprakelijk? Wat heeft jouw organisatie er, op technisch en organisatorisch vlak, aan gedaan om de boel zo veilig mogelijk te houden?
En ook: wat kan de bezoeker er zelf aan doen om alles zo veilig mogelijk te houden? Denk aan het geheimhouden van inlogcodes, verantwoordelijk voelen voor eigen computer etc..
Tot slot: maak duidelijk dat je het privacybeleid altijd mag wijzigen
Want iedereen maakt fouten. Wijs je bezoekers er op om het privacybeleid regelmatig door te kijken, om te controleren of er veranderingen zijn doorgevoerd. Maak bij elke versie wel duidelijk van welke datum deze is.
Dit blog bevat richtlijnen voor de basis van een privacybeleid. Ga je echt aan de slag, laat dan altijd voor de zekerheid een jurist mee- of nakijken. Daarnaast kun je de website van de Autoriteit Persoonsgegevens raadplegen of de Privacyverklaring generator gebruiken (jawel, die bestaat!).